TE AYUDAMOS A INVERTIR

Noticias

Breach expone a los usuarios del servicio proxy de Microleaves

Breach expone a los usuarios del servicio proxy de Microleaves


Microhojas, un servicio proxy de diez años que permite a los clientes enrutar su tráfico internet a través de millones de computadoras con Microsoft Home windows, solucionó recientemente una vulnerabilidad en su sitio internet que exponía toda su base de datos de usuarios. Microleaves afirma que su software program proxy se instala con el consentimiento del usuario, pero los datos expuestos en la violación muestran que el servicio tiene un largo historial de suministro de nuevos proxies por parte de afiliados incentivados para distribuir el software program de cualquier manera que puedan, como empaquetándolo en secreto con otros títulos.

Conexión DevOps: DevSecOps @ RSAC 2022

El servicio de proxy Microleaves, que está en proceso de ser renombrado como Shifter[.[io.

Launched in 2013, Microleaves is a service that allows customers to route their Internet traffic through PCs in virtually any country or city around the globe. Microleaves works by changing each customer’s Internet Protocol (IP) address every five to ten minutes.

The service, which accepts PayPal, Bitcoin and all major credit cards, is aimed primarily at enterprises engaged in repetitive, automated activity that often results in an IP address being temporarily blocked — such as data scraping, or mass-creating new accounts at some service online.

In response to a report about the data exposure from KrebsOnSecurity, Microleaves said it was grateful for being notified about a “very serious issue regarding our customer information.”

Abhishek Gupta is the PR and marketing manager for Microleaves, which he said in the process of being rebranded to “Shifter.io.” Gupta said the report qualified as a “medium” severity security issue in Shifter’s brand new bug bounty program (the site makes no mention of a bug bounty), which he said offers up to $2,000 for reporting data exposure issues like the one they just fixed. KrebsOnSecurity declined the offer and requested that Shifter donate the amount to the Electronic Frontier Foundation (EFF), a digital rights group.

From its inception nearly a decade ago, Microleaves has claimed to lease between 20-30 million IPs via its service at any time. Riley Kilmer, co-founder of the proxy-tracking service Spur.us, said that 20-30 million number might be accurate for Shifter if measured across a six-month time frame. Currently, Spur is tracking roughly a quarter-million proxies associated with Microleaves/Shifter each day, with a high rate of churn in IPs.

Early on, this rather large volume of IP addresses led many to speculate that Microleaves was just a botnet which was being resold as a commercial proxy service.

Proxy traffic related to top Microleaves users, as exposed by the website’s API.

The very first discussion thread started by the new user Microleaves on the forum BlackHatWorld in 2013 sought forum members who could help test and grow the proxy network. At the time, the Microleaves user said their proxy network had 150,000 IPs globally, and was growing quickly.

One of BlackHatWorld’s moderators asked the administrator of the forum to review the Microleaves post.

“User states has 150k proxies,” the forum skeptic wrote. “No seller on BHW has 150k working daily proxies none of us do. Which hints at a possible BOTNET. That’s the only way you will get 150k.”

Microleaves has long been classified by antivirus companies as adware or as a “potentially unwanted program” (PUP), the euphemism that antivirus companies use to describe executable files that get installed with ambiguous consent at best, and are often part of a bundle of software tied to some “free” download. Security vendor Kaspersky flags the Microleaves family of software as a trojan horse program that commandeers the user’s Internet connection as a proxy without notifying the user.

“While working, these Trojans pose as Microsoft Windows Update,” Kaspersky wrote.

In a February 2014 post to BlackHatWorld, Microleaves announced that its sister service — reverseproxies[.]com — ahora estaba ofreciendo un “Servicio de resolución automática de CAPTCHA”, que automatiza la resolución de esos acertijos ondulados y, a veces, frustrantes que muchos sitios internet usan para distinguir a los bots de los visitantes reales. El servicio CAPTCHA se ofreció como un complemento del servicio de proxy Microleaves y su precio varió desde $20 por una prueba de 2 días hasta $320 por resolver hasta 80 captchas simultáneamente.

«Rompemos Recaptcha regular con una tasa de éxito del 60-90%, recaptcha con blobs 30% de éxito y más de 500 captcha», escribió Microleaves. “¡Como saben, toda la tasa de éxito en recaptcha depende en gran medida de buenos proxies que estén actualizados y sin spam!”

¿QUIÉN ES ACIDUT?

La base de datos de usuarios de Microleaves expuesta muestra que el primer usuario creado en el servicio, el nombre de usuario «admin», usó la dirección de correo electrónico [email protected]. Una búsqueda en esa dirección de correo electrónico en Inteligencia Constellaun servicio que rastrea los datos violados, revela que se utilizó para crear una cuenta en el servicio de acortamiento de enlaces bit.ly bajo el nombre Alejandro Floreay el nombre de usuario “Acidut.” [Full disclosure: Constella is currently an advertiser on this website].

Según la empresa de ciberinteligencia Intel 471un usuario llamado Acidut con la dirección de correo electrónico [email protected] tuvo una presencia activa en casi una docena de oscuros foros sobre ciberdelincuencia y para hacer dinero entre 2010 y 2017, incluidos BlackHatMundo, Cardador[.]Professional, Hackforos, OpenSCy CPAElites.

El usuario Microleaves (luego “Shifter.io”) anunció en BlackHatWorld la venta de 31 millones de IP residenciales para usar como proxies, a fines de 2013. La misma cuenta continúa vendiendo suscripciones a Shifter.io.

En una publicación de 2011 en Hackforums, Acidut dijo que estaban construyendo una purple de bots utilizando un «equipment de explotación», un conjunto de vulnerabilidades de navegador creadas para integrarse en sitios internet pirateados e imponer malware a los visitantes. Acidut afirmó que su equipment de explotación generaba entre 3000 y 5000 bots nuevos cada día. OpenSC fue pirateado en un momento, y sus mensajes privados muestran que Acidut compró una licencia de examinarel mango utilizado por el creador de la Kit de explotación de Eleonore.

Para noviembre de 2013, Acidut anunciaba la venta de “26 millones de proxies residenciales SOCKS”. En una publicación de marzo de 2016 para CPAElites, Acidut dijo que tenían una oferta que valía la pena para las personas involucradas en esquemas de pago por instalación o “PPI”que unen a las bandas criminales que pagan por las instalaciones de malware con piratas informáticos emprendedores que buscan vender acceso a PC y sitios internet comprometidos.

Debido a que los esquemas de afiliados de pago por instalación rara vez imponen restricciones sobre cómo se puede instalar el software program, dichos programas pueden ser atractivos para los ciberdelincuentes que ya controlan grandes colecciones de máquinas pirateadas y/o sitios internet comprometidos. De hecho, Acidut fue un paso más allá y agregó que su programa podría anidarse silenciosa e invisiblemente dentro de otros programas.

“Para aquellos de ustedes que están haciendo PPI, tengo una oferta world que pueden incluir en su instalador”, escribió Acidut. “Estoy buscando muchas instalaciones para una aplicación que generará visitas al sitio internet. El instalador tiene una versión silenciosa que puede usar dentro de su instalador. Estoy buscando comprar tantas instalaciones diarias como sea posible en todo el mundo, excepto en China”.

Cuando se le preguntó sobre la fuente de sus proxies en 2014, el usuario de Microleaves respondió que period “algo relacionado con una purple PPI. No puedo decir más y no entraré en detalles”.

Acidut escribió un mensaje comparable en el foro BlackHatWorld en 2013, donde animaba a los usuarios a contactarlos por Skype con el nombre de usuario “nevo.julian.” Esa misma dirección de contacto de Skype figuraba de forma destacada en la página de inicio de Microleaves hasta hace una semana cuando KrebsOnSecurity contactó a la empresa por primera vez.

EN LÍNEA[.]IO (AHORA MISERICORDIOSAMENTE DESCONECTADO)

hay un fb perfil por un Alexandru Iulian Florea de Constanta, Rumania, cuyo nombre de usuario en la purple social es Acidut. Antes de que KrebsOnSecurity alertara a Shifter sobre su violación de datos, la página de perfil de Acidut asociaba a Florea con los sitios internet microleaves.com, shrooms.io, click on izquierdo[.]yoy en línea[.]yo. El Sr. Florea no respondió a múltiples solicitudes de comentarios y su página de Fb ya no menciona estos dominios.

Clic izquierdo y en línea[.]io surgió como subsidiarias de Microleaves entre 2017 y 2018. Según un anuncio de búsqueda de ayuda publicado en 2018 para un puesto de desarrollador en línea[.]io, los servicios de la empresa se presentaron descaradamente a los inversores como «un equipment de herramientas de ciberseguridad y privacidad, que ofrece una amplia protección mediante bloqueo de anuncios avanzado, sistemas anti-seguimiento, protección contra malware y acceso VPN revolucionario basado en IP residenciales».

Un adelanto de Irish Tech Information.

«En línea[.]io está desarrollando la primera tecnología de purple peer-to-peer totalmente descentralizada y revolucionando la experiencia de navegación haciéndola más rápida, libre de anuncios, más confiable, segura y no rastreable, liberando así a Web de molestos anuncios, malware y rastreadores”. lee el resto de ese anuncio de búsqueda de ayuda.

El CEO de Microleaves, Alexandru Florea, dio una “entrevista” al sitio internet Irishtechnews.ie en 2018en el que explicó cómo On-line[.]io (OIO) iba a revolucionar las industrias de seguridad y publicidad en línea con su oferta inicial de monedas (ICO). La palabra entrevista está entre comillas porque las siguientes declaraciones de Florea merecieron un serio rechazo por parte del entrevistador.

«En línea[.]io, desarrollada utilizando la cadena de bloques Ethereum, tiene como objetivo interrumpir el mercado de la publicidad digital valorado en más de $ 1 billón de dólares”, dijo entusiasmado Alexandru. “Al apostar tokens OIO e implementar nuestra solución, los operadores de sitios internet podrán acceder a un nuevo flujo de ingresos no invasivo, que capitaliza el tiempo que los usuarios pasan en línea”.

“Al mismo tiempo, los usuarios de Web que apuestan tokens OIO tendrán la oportunidad de monetizar el tiempo que pasan en línea ellos mismos y sus pares en la World Large Internet”, continuó. «El tiempo que los usuarios pasan en línea conducirá a la extracción de tokens ICE, que a su vez pueden usarse en el sistema comercial dedicado o intercambiarse en intercambios y, en consecuencia, cambiarse a fiat».

Traducción: si instala nuestro software program proxy bot/CAPTCHA-solver/advert en su computadora, o como un equipment de explotación en su sitio internet, haremos millones de anuncios secuestrados y será recompensado con montones de anuncios que pronto dejarán de tener valor. moneda de mierda. Ah, y todos tus problemas de seguridad también desaparecerán.

No está claro cuántos usuarios de Web y sitios internet aceptaron voluntariamente ser bombardeados con On-line[.]los molestos anuncios y secuestradores de búsqueda de io, y convertir su PC en un zombi que resuelve CAPTCHA o proxy para otros. Pero eso es exactamente lo que varias empresas de seguridad dijeron que sucedió cuando los usuarios se encontraron en línea[.]io, que operaba usando el nombre de proceso de Microsoft Home windows de “online-guardian.exe.”

Increíblemente, Crunchbase cube En línea[.]io recaudó $ 6 millones en fondos para una oferta inicial de monedas en 2018, en base a las afirmaciones claramente ridículas hechas anteriormente. Desde entonces, sin embargo, en línea[.]io parece haberse desconectado, para siempre.

¿SÚPER EMPRESAS TECNOLÓGICAS?

Hasta esta semana, el sitio internet de Shifter.io también exponía información sobre su base de clientes y los usuarios más activos, así como cuánto dinero había pagado cada cliente durante la vigencia de su suscripción. Los datos indican que Shifter ha ganado más de $11.7 millones en pagos directos, aunque no está claro qué tan atrás en el tiempo van esos registros de pago o qué tan completos están.

La mayor parte de los clientes de Shifter que gastaron más de $100,000 en el servicio proxy parecen ser empresas de publicidad digital, incluidas algunas ubicadas en los Estados Unidos. Ninguno de los varios clientes de Shifter contactados por KrebsOnSecurity accedió a ser entrevistado.

Gupta de Shifter dijo que había estado en la empresa durante tres años, desde que el nuevo propietario se hizo cargo de la empresa y cambió la marca a Shifter.

“La empresa ha estado en el mercado durante mucho tiempo, pero operaba bajo una marca diferente llamada Microleaves, hasta que los nuevos propietarios y administradores se hicieron cargo de la empresa y comenzaron un proceso de reorganización que aún está en curso”, dijo Gupta. “Somos totalmente transparentes. Principalmente [our customers] trabajar en el nicho de raspado de datos, es por eso que en realidad desarrollamos más productos en esta zona e hicimos un gran cambio hacia las API y las soluciones integradas el año pasado”.

Ah, sí, las mismas API y soluciones integradas que se encontraron expuestas a Web y filtrando toda la información de los clientes de Shifter.

Gupta dijo que el fundador unique de Microleaves period un hombre de la India, que luego vendió el negocio a Florea. Según Gupta, el empresario rumano tuvo múltiples problemas al tratar de administrar la empresa y luego la vendió hace tres años al propietario precise: Súper empresas tecnológicasuna empresa de capital privado con sede en Taiwán.

“Nuestro director basic es Wang Wei, ha estado en la empresa desde hace 3 años”, dijo Gupta. «Señor. Florea dejó la empresa hace dos años después de finalizar este período de transición”.

Google y otros motores de búsqueda parecen no saber nada acerca de Tremendous Tech Ventures con sede en Taiwán. Increíblemente, la propia persona de relaciones públicas de Shifter afirmó que él también estaba a oscuras sobre este tema.

“Me encantaría ayudar, pero realmente no sé mucho sobre la empresa matriz”, dijo Gupta, esencialmente retractándose de su declaración “totalmente transparente”. «Sé que son una rama del grupo más grande de firmas de inversión asiáticas enfocadas en capital privado en múltiples industrias».

El adware y el software program proxy a menudo se combinan con utilidades de software program «gratuitas» en línea, o con títulos de software program populares que han sido pirateados y fusionados silenciosamente con instaladores vinculados a varios esquemas de afiliados de PPI.

Pero con la misma frecuencia, estos programas intrusivos incluirán algún tipo de aviso, incluso si se instalan como parte de un paquete de software program, que muchos usuarios simplemente no leen y hacen clic en «Siguiente» para continuar con la instalación del software program que buscan usar. . En estos casos, al seleccionar la configuración «básica» o «predeterminada» durante la instalación, por lo basic se ocultan las indicaciones de instalación por programa y se supone que está de acuerdo con la instalación de todos los programas incluidos. Siempre es mejor optar por el modo de instalación «personalizado», que puede darle una mejor concept de lo que realmente se está instalando y puede permitirle controlar ciertos aspectos de la instalación.

De cualquier manera, es mejor comenzar con la suposición de que si un software program o servicio en línea es «gratuito», es possible que haya algún componente involucrado que le permita al proveedor de ese servicio monetizar su actividad. Como señaló KrebsOnSecurity al closing de la historia de la semana pasada sobre un servicio proxy con sede en China llamado 911la regla basic para realizar transacciones en línea es que si usted no es el cliente que paga, es possible que usted o sus dispositivos sean el producto que se vende a otros.

Lectura adicional sobre los servicios de proxy:

18 de julio de 2022: Una inmersión profunda en el servicio de proxy residencial ‘911’
28 de junio de 2022: El vínculo entre AWM Proxy y la red de bots Glupteba
22 de junio de 2022: Conozca a los administradores de la botnet proxy RSOCKS
1 de septiembre de 2021: La red proxy de malware VIP72 de 15 años se oscurece
19 de agosto de 2019: El auge de las redes residenciales «a prueba de balas»

*** Este es un weblog sindicado de Safety Bloggers Community de Krebs sobre la seguridad escrito por BrianKrebs. Lea la publicación unique en: https://krebsonsecurity.com/2022/07/breach-expone-users-of-microleaves-proxy-service/



Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Related Posts